数据泄露(精选8篇)
数据泄露 篇1
1 引言
近年来, 随着信息技术的蓬勃发展, 数据的规模和应用模式已经发生了变化, 数据已经从小规模发展到大规模、超大规模。 数据已经呈现出规模大、种类繁多、价值密度低、处理速度快等特点;数据的应用模式为集中式存储和云存储并存, 大量数据不仅仅存储在终端计算机、服务器、数据库中, 而且通过 BYOD 设备、网络存储在云端。
海量的数据加之繁多的应用模式, 导致数据泄露的风险逐年攀升。 近期, 国际权威机构 Verizon 发布了《2014 年度数据泄露调查报告 》。 报告统计了最近 10 年以来, 95 个国家或地区的 6 万多起数据泄露事件, 总结出了 9 种最主要的数据泄露模式, 为数据安全研究提供了有力的数据支撑。
2 数据泄露的基本模式
根据统计, 数据泄露事件的 92%可以归入 9 种基本模式:POS 入侵、Web 应用攻击、内部失窃、物理性损失、恶意软件、支付卡盗刷、拒绝服务攻击、网络间谍、其他错误。
(1) POS 入 侵是指攻击者通过入侵运行 POS 程 序的主机或服务器, 从中窃取交易信息, 导致支付信息、用户个人信息等敏感数据泄露。 这种泄露方式多发生在零售业、酒店、医院等拥有大量 POS 设备的行业。
(2) Web 应 用攻击是指攻击者利用 Web 应 用系统的漏洞发起攻击, 攻陷 Web 服务器后将其作为跳板, 进一步从机构内部网络窃取重要数据。 这类泄露方式多发生在公共事业性机构、 电子商务企业等通过 Web 应用为大众提供服务的行业。
(3) 内部失窃是指机构内部的员工由于主观因素或权限管理等多种原因, 泄露机构数据造成的事件, 著名的“斯诺登事件”就是这类数据泄露模式的典型案例。 这类事件在各行各业都有发生, 是较普遍的数据泄漏模式, 影响面较广, 防范机制也相对复杂。
(4) 物理性损失是指数据存储介质的损坏和丢失或失窃, 这是威胁数据安全的最基本模式, 多在灾难发生的时候同时发生。 随着数据量的海量增大, 发生该类数据泄露的风险也随之上升。 医疗行业和公共事业性机构容易发生此类数据泄露事件。
(5) 恶意软件涵盖了所有具备恶意行为的软件 , 多为黑客发起攻击的工具软件和订制程序。 恶意软件种类繁多, 主要包括木马、病毒、窃听、渗透、Rootkit 等。 随着信息技术的发展, 恶意软件的发展也异常迅猛, 使用者的技术门槛也越来越低, 呈现出泛滥的趋势, 令人防不胜防。 此类数据泄露事件多发生在公共事业型机构、信息产业和大型企业。
(6) 支 付卡盗刷和 POS 入 侵的目的相同 , 通过在ATM、POS 等刷卡设备上加装装置 , 从而截获支付卡数据。 支付卡盗刷的技术门槛较低, 所能窃取的交易信息比 POS 入侵方式的要少得多, 有一定技术实力的攻击者通常会采取 POS 入侵这种效率较高的方式。 此类数据泄露多发生于银行、零售、酒店等支付频繁的行业。
(7) 拒 绝服务攻击虽不直接造成数据泄露, 但是其背后的僵尸网络却是数据安全的巨大威胁。 近年来拒绝服务攻击的目的已经不再是单纯为了瘫痪网络服务或设备, 而是将其作为前期手段, 为后续的攻击方式埋下伏笔。 这类攻击多针对金融、零售、公共事业型机构等行业的关键事务系统。
(8) 网 络间谍行为的 针 对 性 强 , 多 是有组织、有计划的入侵行为, 其所导致数据泄露的危害相当巨大 。 近年来频发的APT 攻击就有典型 的网络间谍行为 。 政府、军事组织、公共事业性机构、专业技术部门等都是此类数据泄露的重灾区。
(9) 其 他错误泛指危害数据安全的错误。 人总是会犯错的, 很多这类错误是因为人为疏忽导致的。 这类事件是最普遍发生的数据泄露事件, 涉及的行业也最广。
3 总体分析
从 2004-2013 年数据泄露事件的统计数据, 如图 1 所示可以看出, 在过去 10 年中, 数据泄露事件发生最多的 5 种模式是其他错误 (27%) , 内部失窃 (19%) , 恶意软件 (19%) , 物理性损失 (16%) , Web 应 用攻击 (8%) 。 这 5 种 模式已经涵盖了数据泄露模式的 89%, 也恰恰是数据安全领域长期被大家关注的对象。
再看看最近 3 年数据泄露事件的统计数据, 如图 2所示, 和过去 10 年的统计数据, 如图所示 1 呈现出较大的 差 异 。 数 据 显 示 POS 入 侵 (31%) 、Web 应 用 攻 击 (21%) 、 支 付 卡 盗 刷 (14%) 、 网 络 间 谍 (15%) 和 内 部 失 窃 (8%) , 这 5 种 模式占据了最近 3 年 数据泄露事件总数的89%, 成为近年来数据泄露的主要方式 。 这直接反映出, 经过 10 年的努力, 传统数据泄露模式得到了一定程度的控制, 但数据泄露的模式已经向新的方式发生转变。
除此之外, 从上一年度 1367 件数据泄露事件中可以看出, 如图 3 所示, POS 入侵 (14%) 和支付卡盗刷 (9%) 的占比同近 3 年的统计数据如图 2 所示相比有所下降, 表明最近一年针对 POS 入侵和支付卡盗刷采取的防范措施取得了一定成效。 但是, Web 应用攻击 (35%) 和网络间谍 (22%) 造成的数据泄露事件就占了上一年度事件总数的一半以上 (57%) , 与过去 10 年和近 3 年来的统计数据相比呈持续的上升趋势, 需要引起特别重视。
4 重点分析
通过对数据的总体分析可以看出, POS 入侵、Web应用攻击、支付卡盗刷、网络间谍和内部失窃是现在最主要的五种数据泄露模式。 为了对未来数年数据泄露风险的趋势有所预期, 针对这五种模式的发展趋势进行重点分析是十分必要的。
4.1 POS 入侵和支付卡盗刷
POS 入侵和支付卡盗刷都涉及交易支付系统 , 是窃取交易数据的两种不同手段, 具有一定的相关性。 POS入侵相比支付卡盗刷所能获取的交易数据量更大, 因此长期以来作为窃取交易数据的首选方式。 POS 入侵造成的数据泄露事件占比从 2009 的 39%下降到 2010 年的26%, 在 2011 年 达到 53%的 最高峰之后 , 2012、2013 年一度回落到 14%。 支付卡盗刷造成的数据泄露事件占比在 2010 年出现一个 35%高峰, 在其他年 份 都 稳 定 在10%左右, 如图 4 所示。
2010 年支付卡盗刷的占比超过 POS 入 侵 , 一度成为数据泄露的主要途径之一, 与电子商务的发展有很大关系。 2010 年正是电子商务行业发展的新元年, 电子商务的发展愈发蓬勃, 越来越多的企业进入到企业化电子商务应用阶段。 而同一时期网上支付的安全性并不能满足迅猛发展的电商业务的需要, 导致通过网络盗刷支付卡的事件出现井喷。 由于支付卡盗刷相比 POS 入侵更容易得手, 因而出现了 2010 年支付卡盗刷事件的占比超过 POS 入侵的现象。 面对激增的支付卡盗刷事件, 通过网络支付平台多因素认证技术的逐步完善, 支付卡盗刷事件得到了有效控制, 在 2011 占比回落到 12%, 攻击者再次回到采用 POS 入侵窃取交易数据的方式, 导致2011 年 POS 入侵事件占比达到 53%的 高峰 。 随着防范技术的提升和其他因素的共同作用, 虽然 POS 入侵和支付卡盗刷在近年来的数据泄露事件中的占比呈下降趋势, 但是仍然占据一定比重, 有必要持续关注。
4.2 内部失窃
内部失窃一直是长期困扰数据安全的问题, 虽然已经有各种各样的应对方法, 但与付出的成本相比收效往往甚微。从过去 10 年和最近 3 年的统计数据, 如图 1、图2 所 示可以看出 , 虽然内部失窃造成的数据泄露占比有所下降, 但其所占的比重并无明显下降趋势。 从近 5 年的数据, 如图 5 所示可以看出, 内部失窃发生的占比呈波动性, 今后几年内的发展趋势仍难以预期。
应对内部失窃造成的数据泄露, 业界一直在进行不懈努力。 从早期的 PGP 邮件加密, 到近些年的数据防泄漏 (DLP) 系统。 目前 DLP 系统形成了两大阵营:一种是以 国 外 传 统 安 全 厂 商 如 赛 门 铁 克 、Macfee、Websense、RSA 等组成的基于深度内容识别技术的 DLP 系统 ;另一种是以国内安全厂商如亿赛通、明朝万达等组成的基于文档透明加密技术的 DSM 系统。两大阵营各有侧重, 在数据防泄漏的理念上也有所分歧, 要形成稳定、 有效的数据防泄漏系统还需假以时日。 防范内部失窃不能单单依靠部署一系列的数据防泄漏系统, 更需要从员工安全意识培训和内部制度上下工夫。 随着大数据、云计算、BYOD 等数据应用模式的发展, 内部失窃所造成数据泄露事件的占比不仅不会减少, 甚至有增加的趋势。 因此, 应对内部失窃仍需一如既往, 保持持续的防范力度。
4.3 Web 应用攻击和网络间谍
Web 应用攻击和网络间谍之间存在一定的关联性。 10 年到最近 3 年的统计数据如图 1、图 2 所示, 这两种数据泄露模式的占比在近年来呈明显的上升趋势。 从近 5年来的走势如图 6 所示可见, 2011 年之前 Web 应用攻击和网络间谍事件的占比都比较稳定, 分别维持在平均13%和 5%左 右的水平 。 从 2012 年 开始 , 两类事件的占比接连出现井喷。 2012 年, 网络间谍事件的占比从前一年的 7%猛增到 33%。 虽然 2013 年有所回落, 但仍以22%的占比高居 9 种泄露模式的第二位 。 2013 年 , Web应用攻击事件的占比从前一年的 16%一跃飙升到 35%, 首次成为数据泄露事件占比的榜首。
从近 5 年来 5 种主要数据泄露模式的总占比。 如图 7所示可以看出, Web 应用攻击和网络间谍造成的数据泄露事件的总占比从 2011 年的 18%, 上升到 2012 年的 49%, 在 2013 年更是达到了 57%高峰, 上升势头极为迅猛。
这两种模式造成数据泄露事件之所以会出现井喷, 与近年来频频发生的 APT 攻击不无关系。 APT 是黑客以窃取资料为目的, 针对目标网络所发动的“手术刀”式入侵行为。APT 往往是有组织、有预谋的, 经过长期的经营与策划, 并具备高度的隐蔽性, 究其本质是一种典型的网络间谍的行为。 而通过 Web 应用攻击, 突破目标网络的防御是 APT 攻击的惯用手法之一。 Web 应用攻击常常作为 APT 攻击的发起点, 将攻陷的 Web 服务器作为后续攻击的跳板。 从近 5 年的统计数据来看, 2013 年网络间谍事件的占比虽然有所回落, 但 Web 应用攻击的占比却出现暴增。 可见, 虽然自 2012 年开始, 信息安全业界加大了对 APT 攻击的防范力度, 但是所取得的成效并不显著。 因此, 随着 APT 攻击的威胁日趋严重, 有理由相信在今后的几年中网络间谍和 Web 应用攻击的占比将会继续上升。 由此, 对于这两种模式的数据泄露必须持续、重点关注。
5 结束语
当今世界已经进入大数据时代, 所面临的数据泄露风险也是前所未有的。 通过对过去 10 年和最近几年数据泄露事件的统计分析可以看出, 数据泄露的主要模式正在悄然发生变化。 传统的数据泄露模式依然不容忽视, 新的数据泄露模式如网络间谍和 Web 应用攻击更需要持续关注、提高警惕。 虽然 DLP 系统为数据泄露的防范开辟了一条有实际价值的途径, 但随着大数据、云计算、BYOD 等数据应用模式的发展, 加之近年来频发的 APT 攻击, 给数据泄露的防范带来了更严峻的挑战, 数据泄露的风险在未来几年持续上升的可能性很大。
参考文献
[1]2014 Data Breach Investigations Report[R/OL].http://verizonenterprise.com/cn/DBIR/2014.
[3]马俊.面向内部威胁的数据泄漏防护关键技术研究[D].长沙:国防科学技术大学, 2011.
[4]蔡传忠.数据泄露防护 (DLP) 分域安全技术浅析[J].电脑知识与技术, 2009, 5 (36) ;10174-10179.
[5]杜跃进, 方緖鹏, 翟立东.APT的本质探讨[J].电信网技术, 2011, 11;1-4.
[6]董建伟.2014年APT攻击发展趋势及防御策略调研[EB/OL].http://safe.it168.com/a2014/0617/1636/000001636118.shtml.
数据泄露 篇2
该漏洞的成功利用不需要任何条件,
小米MIUI系统漏洞致大量系统、软件和用户数据泄露及修复方法
。
通过该漏洞,任何应用软件可以获取下列信息:
- 硬件数据,包括:系统版本、系统编译信息、内存和CPU信息、电池信息、IMEI、基带版本、设备生产序号等
- 当前状态数据,包括:当前进程基本信息、所有进程的trace结果、分区挂载信息、路由表和ARP缓存表、运营商、当前系统服务状态、系统维护的Content Provider和Broadcast数据结构和权限管理信息、各软件运行时间
- 日志数据,包括:系统日志、系统事件日志、内核事件日志、内核消息、
- 软件数据,包括:已安装软件的包名、版本、签名证书、使用权限、安装时间、上次使用时间
- 用户敏感数据,包括:已连接的WiFi网络(MAC地址、SSID、类型、IP、DNS、网关、DHCP)、周围可用WiFi网络的SSID/BSSID和类型等;、Broadcast处理的历史记录(可以对用户行为做统计)、当前地理位置、历史地理位置、用户当前账户的用户名、用户数据同步账户的用户名和时间、软件使用情况统计数据
当前的MIUI系统存在两个问题:
1. 以普通shell权限可以运行/system/bin/bugreport程序,该程序用于搜集系统各类信息并输出
2. 安装了一个软件/system/app/Cit.apk,原用于出厂硬件测试用,该软件中,com.miui.cit.CitBroadcastReceiver组件存在permission re-delegation类型漏洞,通过利用该漏洞,可导致任何软件通过特定参数远程触发该接收器,触发该软件自动调用bugreport,并将结果保存在SD卡的特定目录/sdcard/MIUI/debug_log/下,如前所述,SD卡的文件可以被任意软件读写
上述两个问题中的任何一个都可以导致对本漏洞的利用。任何应用软件通过解析bugreport的输出结果,得到上述信息。
漏洞证明:三种利用方法:
1. adb shell进去,不提权,直接bugreport >/sdcard/dump.txt即可,如图所示:
2. 对应用软件,在源码中用Runtime.getRuntime.exec()函数执行bug report即可,
获得输出结果有两种方法,一是上面所示的重定向,二是对返回的Process对象调用getOutputStream()方法。不具体演示了,我在小米的代码里有看到使用。
3. 对CitBroadcastReceiver的permission re-delegation攻击,代码片段如下:
Intent intent = new Intent();
intent.setAction(“android.provider.Telephony.SECRET_CODE”);
intent.setData(Uri.parse(“android_secret_code://284”));
sendBroadcast(intent);
然后稍等十秒即可从SD卡的/sdcard/MIUI/debug_log/目录读到类似于bugreport--.log的文件
可以读取到的部分数据如下:
IMEI
已安装软件信息
已安装软件的签名
用户账户
正在使用的和周边的WiFi网络信息
地理位置信息和历史记录
修复建议:
1. 将bugreport的执行权限调为root
2. 删掉Cit.apk软件,或为其CitBroadcastReceiver接收器的调用加入静态或者动态的自定义权限检查代码
层出不穷的数据泄露 篇3
而在4月26日同天,还有一则引人注目的数据泄漏新闻:VMware确定关于ESX Hypervisor的源代码已经泄露,并表示“未来也存在源代码被偷盗的潜在危险”。
回顾近期的IT新闻热点,我们会发现有关数据泄漏的报道始终居于榜首。VISA数百万信用卡数据泄露;英特尔前雇员从公司偷走了价值数亿美元的英特尔文件。在国内,CSDN泄漏案的风波持久未息,由其衍生出更多泄漏事件如同一地多米诺骨牌,其恶劣影响最终让CSDN收到了我国落实信息安全等级保护制度以来的首例行政“罚单”。其实CSDN泄漏案仅仅只是国内数据泄漏近况的冰山一角。在今年的“315”报道中曝光了某信用卡中心风险管理部贷款审核员出售客户个人银行信息的丑闻,让人们对银行业的数据安全也提出了广泛质疑。
是什么导致数据泄露事件层出不穷?犯罪分子又为何能够长驱直入呢?
无利不起早。Websense中国区技术经理陈纲在几年前便指出了数据交易的市场化以及其背后的利息链是驱动黑客和有心人士进行数据窃取的关键。现在,陈纲表示:“我们看到另一种趋势,那便是黑客主义,他们可能是黑客,也可能是拥有黑客技术的激进人士,他们为了发泄不满或满足个人英雄主义情结而针对企业不断发起攻击,得到核心数据正是他们攻击成功的标志。”
此外,员工的疏忽和违规操作依然是数据泄漏的主要源头之一。波耐蒙研究所近期的一项调查显示,在调查中有超过78%的受访者表示,在过去两年中企业发生过至少一起数据泄露事件,并归咎于员工的故意或意外行为。员工选错邮件列表将机密信息发送给了错误的对象;员工使用移动设备存储企业数据后转借他人;员工在社交网络分享中透露某些需要保密的信息;员工出于利益目的监守自盗……。随着劳动力市场流动性的增强、移动数据承载设备的推广,IT的消费化趋势,以及在工作场所使用社交网络等因素,员工和公司内部人员所构成的数据泄漏威胁会变得越来越普遍。
而说到犯罪分子能够长驱直入的理由,我们不得不由衷地称叹现代威胁的先进与诡计多端。这里有一个案例,日前万事达卡(MASTER CARD)和维萨(VISA) 发布警告称,由于一家第三方刷卡交易处理商(Global Payments)的系统被入侵,持卡人的信息可能存在被泄漏的危险。随后VISA便承认已发现150万信用卡账户存在风险,并且相关数据还会继续上升。针对这次攻击事件,VISA全球企业风险官就对媒体表示:“黑客这次的袭击采用了非常精明的手段,使用了非常先进的工具,他们进入这个系统之后对自己进行了加密,所以别人看不出来他们已经进去了。以前我们一致认为加密是我们自我保护的手段,没想到也被犯罪分子利用了。”
令人啼笑皆非的是,原本被作为数据安全依托的加密技术,竟然成为了犯罪分子堂而皇之的帮凶,黑客想象力之丰富实在令我们感到可怕。其实静态防护技术和传统安全策略日渐失去功能已经不再是新闻。Websense安全分析师在《2012年威胁报告》中就指出:“面对现代威胁环境,传统的安全防线已经失去了作用,企业只有依靠多点检测的实时防御方案,深度检测和分析入站的每一个网页与电子邮件内容以及出站敏感数据传送才能有效缓解数据泄露等信息安全风险。”
数据泄露 篇4
最先引发该事件的网站是CSDN。CSDN是中国软件开发联盟的英文缩写, 其会员囊括了中国地区百分之九十以上的优秀程序员。此外, 网上又曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网等知名网站也采用明文密码, 可能存在泄密问题。
事件发生后, 工信部立即启动应急预案, 组织相关通信管理局、国家计算机网络应急技术处理协调中心 (CNCERT) 、网络安全专家和部分互联网企业, 了解核实事件情况, 评估事件影响和危害, 研究提出应对措施。
此前, CNNIC《第28次中国互联网络发展状况统计报告》显示, 2011年上半年, 有过账号或密码被盗经历的网民达到1.21亿人, 占网民人数的24.9%。
点评:业内人士认为, 最近公开的仅仅是部分在黑客交易市场中流传很久的老旧数据库, 不同黑客组织实际掌握的用户数据库规模应该远大于1亿条, 而目前中国黑客的黑色产业链规模价值或达上百亿元。
这次事件发生在服务器端, 之所以会涉及如此众多用户资料, 根本原因是部分网站对用户账号“重吸引轻保护”的态度。它们对信息保护的冷漠以及防御意识的薄弱, 助长了黑客对用户数据库的“热情”。
秘密泄露之后 篇5
宜州市德胜小学四(3)班:曾奕爽
一天下午我刚走进教室,突然教室里就安静勒 下来。我正疑问时,听到了从韦鸿华的座位哪儿传来了细小的声音——“嘻嘻哈哈!”我四处打听,才知道:原来是韦鸿华把上次我和他去倒垃圾,结果垃圾袋掉进垃圾池里,我跳进垃圾池捡垃圾袋的事。
我知道后,火冒三丈,二话不说就把韦鸿华拉到足球场扁了一回。打完后,我气愤地说:“你为什么把这件事告诉大家呢?我恨你,以后你不再是我的好朋友了!我要和你绝交!”说完之后,我把他甩到一边,就气冲冲地回教室去了„„
两节课下来,我后悔及了,刚才我怎能这样呢?他可是我的好朋友呀!对待自己的朋友怎么能用武力呢?即使他把我的秘密泄露出去,我也没有什么损失呀!捡会垃圾袋是件好事呀!干吗我这么冲动呢!我的这一拳下去,打伤了我们之间的友谊,如果我不那么冲动,如果我不是被愤怒冲昏了头脑,就不会伤到了我们的友谊了„„可“对不起”这三个字我是怎么也说不出口。又过了一节课,离放学时间也越来越近了,如果我再不说,那今晚我可能是过一个“无眠之夜”了。
经过长时间的思想斗争,我终于解开了心里的疙瘩。在第三节下课后,我终于鼓起了勇气走到韦鸿华的面前,轻声说:“对不起!”“|没关系!”“请你原谅我刚才的冲动。”“不是你的错,是我不该把你的秘密说出去,让我们放下心中的不愉快,做永远的好朋友吧?”说完他伸出了右手,我也兴奋地伸出自己的右手,两只小手紧紧地握在了一起„„
通过这件事,我知道了不能为一点小事而伤了同学之间的友谊,还有遇事时我们要冷静地去思考,要不就犯了和我一样的错误了。
指导老师:兰丽琼
互联网+时代的数据泄露幽灵 篇6
2015年,全球数字安全公司Gemalto调查了澳大利亚、巴西、法国、德国、日本、英国及美国的5750位消费者后发现,超过1/3的人曾受到数据泄露的影响,近1/5的人认为在未来1~3年中可能会成为数据泄露的受害者。
数据泄露的风险已经成为全球性难题,初步踏入信息社会的我们尚没有找到保障数据安全的有效方式。
数据泄露的“冰山”
进入21世纪以来,数据泄露愈发频繁,从2013年的美国超级零售商Target,到2014年的索尼娱乐公司,再到2015年美国约会网站Ashley Madison,全球范围内很多公司先后遭受重创。有人曾将2014年称之为“数据泄露元年”,从那时起至今,数据泄露已不再是简单的科技事件,而愈发成为严重的社会问题。
不断发生的惊人事件让人们开始集中关注数据安全的问题,但其实我们熟知的近期发生的泄露事件在规模和影响上都并不突出。有史以来最严重的数据泄露发生于2005年到2012年,持续8年之久。来自俄罗斯和乌克兰的黑客组织侵袭了包括纳斯达克在内的多家美国公司,窃取共1.6亿条银行卡号码,侵入80多万银行账号。排名第二的是2014年的eBay数据泄露事件,共1.48亿用户的姓名、住址、生日及密码遭泄。2006~2008年,昔日最大的支付公司Heartland的数据泄露事件排名第三,共1.3亿银行账号被黑客获取。
中国企业也在劫难逃。2010年,支付宝前技术员工下载了超过20G的支付宝用户资料出售给其他数据公司;2011年,天涯网盛极之时,有4000万用户的数据被黑客泄露;2014年5月,小米论坛数据有800万注册用户的数据遭泄,黑客随意进入账户。
2015年,世界范围内发生的大型数据泄露事件共有四起:当年2月,美国第二大医疗保险公司Anthem数据库遭泄露,近8000万用户的个人信息失窃;6月,美国政府人事管理办公室也惨遭网络袭击,共400多万员工的记录被盗;一个月之后,媒体铺天盖地报道了极富争议的约会网站Ashley Madison数据被窃事件,共3700万用户受到了影响;10月,英国电信公司TalkTalk的400万用户数据被黑客窃走。
发生数据泄露的成本究竟有多大?大型数据泄露事件的直接经济成本几乎都是过亿级的:美国零售业巨头Target公司为数据泄露支付了10亿美元;索尼娱乐亏损数十亿美元;美国家居零售商Home Depot要向5600万用户赔偿总共100亿美元的损失;而Ashley Madison泄露事件导致该公司陷入多起诉讼,成本之大不可预估。
最新数据显示,数据泄露的平均成本已经由2014年的352万美元上升到379万(上涨23%),平均一份数据泄露的成本由145美元增长为154美元。Pomenon对比各国情况发现,美国数据泄露的成本最高,为217美元,其次是德国的211美元。泄露成本最低的是巴西和印度,分别为78和56美元。从行业视角来看,医疗健康领域的成本最高,高达363美元,第二名是教育领域(300美元),最低的是交通领域和公共部门,分别为121美元和68美元。
上面的数字只是冰山一角。数据泄露的成本不仅体现在直接经济损失上,还有很多隐藏成本,它是指那些经常被忽略,不容易与成本建立关联,有些甚至无法被量化的负面因素。
在所有隐藏成本中,重建用户信任的成本最大,而数据泄露对用户信任带来严重的挑战。在数据事故频发的今天,消费者对于数据公司的信任已经跌到了底点。Gemalto提供的数据显示,只有1/4的消费者认为数据公司非常重视数据安全。而对数据公司的员工所做的调查显示,仅2/5的员工认为自己的公司非常重视数据安全问题。
2015年因数据泄露导致的信任危机量化后的成本高达157万美元,2014年这一数字为133万。这些成本包括商誉减损、用户不正常流失、公司随后开展的大量挽救用户的活动。 全球近64%的消费者认为,如果某家公司的财务信息被盗,就不愿意再购买这家公司的服务,或者与其做生意;还有近1/2的人认为,如果某家公司发生了数据泄露事件,也不会再使用他们的服务。可见,信任补救成本对于公司而言是“实打实”的损失,而且其负面影响无法全部量化。
谁是互联网+公司的敌人
用户数据面临的安全威胁来源多样,有外部因素和内部因素,也可分为人为因素和非人为因素。大体上包括网络恶意袭击、系统故障以及员工行为三种情况。
网络恶意袭击(cyber attack) 在所有因素中产生的成本最高:在2015年,每丢失一份数据要产生170美元的成本,与上一年相比上涨11美元。近两年,网络恶意袭击呈直线上升之势。2013年的报告显示,恶意袭击因素在当时的比重仅占37%,与第二名的“人为因素”仅相差2个百分点。两年之后,二者差距已经被实质性地拉大,而其他因素如系统故障和人为因素的比例都不超过30%。
人为因素也不可被忽视。赛门铁克(Symantec)的一项研究表明,有超过一半的员工离职12个月以后仍然持有旧公司的保密数据,40%的人会在下一份工作中继续使用这些数据。62%的员工认为可以在离职后将原公司的数据复制带走,而且大部分人都不会删除原公司的数据。只有47%的公司会在员工离职后仍使用原公司数据的情况下会采取行动,而68%的公司没有任何限制措施。
数据泄露事件如此猖獗,一定程度上与业界对风险的理解不足和控制不利有关。从公司治理的角度来看,这反映了很多高层对于数据安全问题不以为然,在数据库防御方面没有足够的预算,在公司政策上也没有限制措施。
侥幸和过度自信的态度,导致很多公司面临严重的后果:轻则声誉受损,面临大量诉讼;重则服务停滞,濒临破产倒闭。随着社会数据化程度的加深,互联网+公司的生存发展取决于公司高层的态度转变:数据泄露不是一个遥远的概念,也不是一个纯粹的技术问题,而成为了一种极大的商业风险。
研究结果表明,企业持续性数据风险管理在降低成本上发挥着有效的作用。在完善具体应对数据泄露的方案上,可以从事前防范和事后处理两个方向入手。
事前防范包括预算和团队管理两方面。首先,降低数据泄露风险需要加大在数据安全方面的投资预算。很多公司对这一问题不够重视,甚至倾向于减少安全方面的成本。值得重视的是,处理数据泄露的成本也在逐年增长。这一成本包括展开调查、评估、审计的费用、危机管理团队的运营以及与董事和股东沟通的成本。从2014到2015年,处理数据泄露的平均成本已经由76万美元上涨到近100万美元,幅度超过31%。
其次,可以通过购买保险降低可能的损失。研究数据显示,保险能够有效降低4.4美元/数据的成本。2014年美国零售巨头Target因数据泄露遭到重创,损失高达6100万美元,但其中有4400万(72.1%) 得到了保险公司的补偿。这意味着Target给消费者重新置办购物卡、处理法律诉讼和政府调查,以及支持相关执法行动没有花一分钱。
公司在组织架构方面应突出数据安全的重要性。目前较为流行的做法是任命首席信息安全官 ,专门管理数据泄露的风险,并围绕这一核心角色建立团队。
对员工的教育与培训也是非常重要的措施。一方面要开展数据安全意识培训,在公司政策和劳动合同上突出保护数据安全的共同义务;另一方面还要教会员工使用防数据丢失的技术。
对数据泄露事后处理的基础建立一套全面、完整、可执行的事故应急方案。公司用多快的速度采取行动识别和应对数据泄露,是与最终的泄露成本存在直接因果关系的。2015年,公司确认出现数据泄露所需的平均时间为206天,有效阻止数据泄露所需的平均时间为69天。在泄露没有被发现或及时制止之前,每一分钟的代价都是巨大的。Gartner的研究数据显示,网络宕机的成本是5600美元/分钟。
如今,越来越多的公司开始使用技术工具来侦查数据事故背后的网络犯罪活动,取得了不错的效果。这一做法可以对公司数据安全状况进行完整的评估,展现数据安全可能存在的隐患。随着数字化逐渐渗透到人们生活的方方面面,数据泄露将成为公司面对的巨大挑战,也将成为社会生活中极具关注度的安全问题。
数据泄露 篇7
白帽子黑客起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有很大脱裤嫌疑(网站用户注册信息数据库被黑客窃取)。
目前这一漏洞问题已经得到大麦网方面的技术确认,正在等待厂商处理中。对此问题,白帽黑客建议大麦网官方提醒网站用户及时修改密码,并预防多处相同密码造成的撞库风险。
作为号称“华语类排名第一的票务网站”,大麦网已经不止一次发生过类似的安全问题。雷锋网通过查询乌云网站发现,在过去一年多时间来,大麦网因为“不同严重程度”的漏洞问题已经陆续被乌云平台警告提醒了41次。
其中较为重大的几起网络安全事故为:
2014年3月,大麦网因为配置不当可导致全部用户信息泄漏;
2014年6月,大麦网服务器漏洞未修补可能导致770W用户数据泄露;
还有就是今天这次,涉及600万用户数据信息的泄露。
短短一年半时间内,大麦网先后3次遭遇严重性安全漏洞问题,可见大麦网对于用户安全问题的重视程度之低。针对这一问题,为了保证自身的账号安全,雷锋网建议大麦网用户尽快修改自己的账号密码,不给黑客可乘之机。除此之外,最主要的还是希望大麦网能够重视网站完全问题,修复网站漏洞,保重用户的安全。
数据泄露 篇8
根据赛门铁克最新《互联网安全威胁报告》显示, 去年一年全球被泄露的个人身份信息达到5.52亿条, 千万级以上的规模泄露事件达到八次以上, 泄露数据的数量是2012年的4倍, 而这还只是在见诸报端的情况下所统计的。在赛门铁克大中华区总裁连智浩看来, 这仅仅是冰山一角, 已发生而未曝光的大规模数据泄露将比人们想象的严重, 而2013年也开始揭开了“大规模数据泄露”的序幕。
不是所有泄露都来自黑客攻击
根据报告显示, 在2013年数据泄露的主要原因中, 有34%来自于黑客攻击, 有29%来自于意外泄露, 27%来自于电脑、硬盘失窃和丢失。可见, 实际上有超过一半的数据泄露并非源于黑客攻击, 而是由于电脑、硬盘失窃和丢失以及意外的数据泄露所造成。
同时报告也表明, 虽然有58%的数据泄露事件出现在医疗、教育和公共管理等对安全敏感度并不十分高的行业, 但在2013年所泄露的总数据量中, 77%却来自零售、电脑软件和金融行业, 因为这些行业数据价值更高, 也是袭击者的主要目标。
攻击更针对性、更有预谋
在赛门铁克中国区安全产品总监卜宪录看来, 一次大规模数据泄露造成的损失可能相当于50次小型攻击, 而现如今攻击者除了诡计多端之外, “让人惊讶的是他们已变得更有耐心, 蓄意等待收益最大化的时候出手”。
他向《通信世界》举例介绍到, 以前垃圾邮件或刺探邮件常常是随机大量发送, 而现在情况转变至攻击者会缩小目标范围, 对主题和收件人进行明显的精心挑选, 围绕一个目标有针对性, 并在时间上有关联性的采取行动。如选择与其他邮件有至少3或4项相关内容 (主题、发件人地址、IP地址等) , 选择在同一天或分为数天寄出。“攻击者越来越低调、有耐心, 但越来越有针对性、组织性和计划性, 而大部分人们的防范意识还未提升至相应高度, 这也导致了攻击变得越容易得逞。”同时卜宪录指出, “攻击者在得逞后日益大胆, 没有什么比成功更能孕育成功, 对网络罪犯来讲尤其如此”。
例如, 潜在的大额放款日就很可能诱发大规模的网络攻击, 而在他看来无论什么规模的企业都应当重新审视、思考并在可能的情况下重新部署安全防御系统。根据报告统计, 在2013年针对性网络攻击数量明显增多, 较2012年增长了91%。
移动设备=危险?
目前移动设备越来越普遍, 手机恶意软件也在数年孕育后日益成熟, 同时越来越多的人选择将工作和个人信息都存储在移动设备里, 然而智能手机用户风险意识的缺乏, 使得移动设备正逐渐成为存在安全威胁的重要领域, 并有越演越烈的趋势。
在赛门铁克2013年对各个移动平台 (i OS、Android、Windows、Symbian) 遭遇恶意代码袭击的统计中, Android依然是恶意软件制造者的主要选择, 占到了96%。并且, 恶意软件开发者主要进行已有软件的升级, 因此新型恶意软件的出现速度放缓。在2012年, 每个种类下不同变种的平均数量为38, 而到2013年增加到57个。
另外卜宪录向记者表示, 根据诺顿调查显示, 有38%的智能手机用户在过去12个月遭遇过网络威胁, 同时有50%的用户未采取基本预防措施, 如设置密码、安装安全性软件或对移动设备里的文件进行备份。
他向记者列举了PC端和移动端的数据对比:在PC端, 约90%用户会删除来自未知发件人的可疑邮件, 而在移动终端上只有56%用户采取行动;在PC上, 72%的用户会至少安装一个免费的基础防病毒软件, 而移动终端比例只有33%;有78%的PC用户避免在网络上存储敏感文件, 而移动用户比例只有48%。
“基于移动互联网的风险与威胁在未来会越来越多, 虽然它现在造成的破坏性从单独分类统计来看并不是特别显著, 但这将是一个必然的趋势。”卜宪录说道。
建议
——对于企业组织
了解企业数据:以“信息”为核心部署安全防护技术, 而非仅仅考虑以设备或数据中心等基础设施为核心的保护, 了解敏感数据的存储位置及流向, 以确定最佳的安全策略和流程。
重视员工教育:为员工提供信息安全指导, 内容包括公司安全政策, 以及针对个人设备和企业设备中敏感数据的保护措施。
部署强大的安全防御系统:加强安全基础设施的建设, 部署包括数据泄露防护、网络安全、端点安全、加密、验证和信誉技术在内的必要安全防护解决方案。
——对于消费者
成为安全达人:密码是开启一切的钥匙, 可以使用密码管理软件为您所登陆的每一个站点创建安全等级更高的密码, 并及时将个人设备 (包括智能手机) 中的安全软件更新至最新版本。
时刻保持警惕:检查您的银行卡和信用卡账单是否存在异常情况, 谨慎处理来路不明的意外邮件, 谨记“天上掉下的馅饼”往往都是陷阱。